hacking.pl

Codzienna dawka nowych wiadomości ze świata bezpieczeństwa. Tutoriale, narzędzia, linux oraz testy penetracyjne.

Hooker – koń trojański

Trojan.PSW.Hooker.F to nowy koń trojański z rodziny PSW, działa on podobnie do słynnych wirusów/robali Happy99, PrettyPark, MTX, rozsyłając się automatycznie pocztą elektroniczną.

Trojan ten instaluje się rezydentnie w systemie, dla utrudnienia zlikwidowania w kilku miejscach:

– pliku win.ini wpisuje w sekcji [windows] swoje wywołanie:

run=C:\WINDOWS\INETD.EXE

lub

run=C:\WINDOWS\HKK32.EXE

– w rejestrach systemu w kluczu:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunOnce

wpisuje: „kernel32″=”kern32.exe”

A to wszystko po to, by móc uruchamiać się przy każdym starcie systemu.

Trojan do powielania się używa klasycznego już mechanizmu wysyłania samego siebie jako e-mail z załącznikiem, którym jest właśnie nosiciel trojana. Nazwy tych załączników są losowo wybierane z poniższej listy:

fun.pif
Humor.TXT.pif
docs.scr
s3msong.MP3.pif
Sorry_about_yesterday.DOC.pif
Me_nude.AVI.pif
Card.pif
SETUP.pif
searchURL.scr
YOU_are_FAT!.TXT.pif
hamster.ZIP.scr
news_doc.scr
New_Napster_Site.DOC.scr
README.TXT.pif
images.pif
Pics.ZIP.scr

Po uruchomieniu załącznika trojan rozpakowuje następujące pliki: inetd.exe lub hkk32.exe do katalogu Windows (domyślnie c:\windows) oraz pliki: kern32.exe i hksdll.dll do katalogu systemowego Windows (domyślnie c:\windows\system).

Usunięcie trojana jest proste:

1. należy w trybie DOS (czyli przy nieaktywnych Windows) wyszukać i skasować pliki: inetd.exe, hkk32.exe, kern32.exe, hksdll.dll

2. w pliku win.ini usunąć wpis uruchamiający trojana, czyli linijkę run=C:\WINDOWS\INETD.EXE lub run=C:\WINDOWS\HKK32.EXE zamienić na run=

3. Zaimportować plik rejestru znajdujący się na stronach mks_vir, wydając komendę REGEDIT C:\HOOKER.REG (po uprzednim ściągnięciu pliku hooker.reg z naszego serwera i zapisaniu go w katalogu głównym dysku C)

4. uruchomić ponownie komputer

Service Pack 2 dla Windows 2000

Do betatesterów trafiła już kolejna wersja Service Pack oznaczona numerkiem 2.145.1 dla Windows 2000. Jak na razie nie pojawiły się informacje na temat daty, kiedy kolejny Service Pack 2 udostępniony zostanie zwykłym użytkownikom systemu Windows 2000.

www.melgibson.com

No i prosze… parę godzin temu publikowałem atak na strony Hollywoodzkich gwiazd dokonany przez Prime Suspectz, a teraz mamy Polski hacked site w wykonaniu cyphers TEAM. Szczegóły na www.melgibson.com.
Oczywiście włam standardowo udokumentowany w dziale hacked.

Mysql 3.23.37

Dostępna jest już kolejna wersja mysql z numerkiem 3.23.37. Nowy mysql praktycznie niewiele różni się od swojej starszej poprzedniczki ale zawiera parę drobniejszych poprawek związanych z błędami.

Najważniejszą zmianą jest zmiana nazwy tabel Innobase na InnoDB, spowodowana konfliktem z nazwą niemieckiej firmy INNOBASE. 3.23.37 wydano narazie tylko na platformy *nixowe. Poprawki wersji dla Windows pojawią się w innym terminie.

Dla zainteresowanych nową wersją mysql odsyłam do listy zmian która i tak faktycznie nie zawiera żadnych poważnych różnic w stosunku do mysql 3.23.36.

Kolejny bug w OpenSource

W OpenSource znaleziono kolejny bląd związany z bezpieczeństwem. Najpierw ujawniono poważny błąd w Sambie 2.0.X który pozwala dowolnemu lokalnemu użytkownikowi porządnie mamieszać w systemie plików, a teraz okazało się, że w kernelu 2.4 w kodzie NetFiltra jest równie poważna dziura.

Jeżeli intruz jest w stanie ustanowić połączenie FTP przechodzące przez Linuksa z jądrem 2.4 i firewallem opartym na iptables, który pozwala na połączenia zależne (iptables … –state RELATED…), to może on wstawić pozycję do tablicy RELATED firewalla pozwalającą na połączenie z serwera FTP na dowolny port dowolnego hosta chronionego regułami firewalla.

Rząd brytyjski walczy z przestępczością

W Wielkiej Brytanii powstanie specjalna jednostka policji do walki z przestępczością w internecie, w tym zwłaszcza z pedofilią i oszustwami finansowymi – ogłosił rząd tego kraju.

„Nowe technologie przyniosły wielkie korzyści zwykłym użytkownikom, ale są też wykorzystywane przez przestępców” – uzasadnił powołanie jednostki brytyjski minister spraw wewnętrznych Jack Straw.

Narodowa Jednostka do Walki z Przestępstwami Zaawansowanych Technologii (NHTCU) będzie się składała z 80 wysokiej klasy informatyków. Ich miejsce pracy będzie trzymane w ścisłej tajemnicy – wyjaśnił Jack Straw, dodając, że na utworzenie nowej jednostki przeznaczono 25 mln funtów.

Minister podkreślił, że Wielka Brytania chce być najbezpieczniejszym miejscem handlu internetowego na świecie, a także chce, by „brytyjskie dzieci mogły bezpiecznie surfować po Sieci”.

Tymczasem Forum ds. Przestępstw w Internecie, grupujące przedstawicieli policji, rządu i specjalistów od nowych technologii, ostrzega, że wzrasta ryzyko napastowania brytyjskich dzieci w Internecie przez pedofilów.

Jak szacuje organizacja, rozwój Internetu spowodował, że ok. 4,8 mln nieletnich ma swobodny dostęp do Sieci. Milion z nich nie skończyło jeszcze 14 lat, co niesie ze sobą szczególnie wiele zagrożeń – podkreślają specjaliści.

Decyzja o powołaniu NHTCU jest – zapowiadaną wcześniej – reakcją rządu Wielkiej Brytanii na nawoływania Forum do stanowczych działań władz zapobiegających rosnącemu problemowi przestępczości z zastosowaniem nowych technologii.

W czasie największej na Wyspach akcji przeciwko pedofilom w Sieci zatrzymano i skazano w 1998 roku siedmiu mężczyzn odpowiedzialnych za zamieszczanie w Internecie zdjęć z pornografią dziecięcą.

Z kolei w ostatni piątek ogłoszono w Londynie, że policji udało się wykryć grupę odpowiedzialną za internetowe oszustwa na łączną kwotę prawie 4 mld dolarów

 

WordPerfect Office 2002 już niedługo

W USA Kanadyjski Corel rozpoczyna dystrybucję najnowszego pakietu biurowego WordPerfect Office 2002 który będzie dostępny od początku maja.

Do sprzedaży trafią dwie edycje: Standard i Professional. Pierwsza z nich, oferowana w cenie 159 USD, będzie wyposażona w edytor tekstu WordPerfect 10, arkusz kalkulacyjny Quattro Pro 10, program do tworzenia prezentacji Corel Presentations 10 oraz klienta poczty elektronicznej CorelCENTRAL 10.

Professional Edition, poza wszystkimi aplikacjami z wersji Standard, będzie zawierać aplikacje bazodanową Paradox 10 oraz oprogramowanie do rozpoznawania mowy Dragon NaturallySpeaking 5.0. Cenę wersji Pro ustalono na 259 USD.

WordPerfect Office 2002 znajdzie się wcześniej na rynku niż najnowszy pakiet biurowy Microsoftu. Premiera Office XP nastąpi 31 maja. Wydaje się jednak, iż fakt ten nie przyczyni się do znaczącej zmiany proporcji w udziale rynkowym obu produktów. Obecnie nie wiadomo jeszcze, kiedy rozpocznie się sprzedaż pakietu Corela w Europie.

Internet Explorer 6 Beta 2 Build 2463.52

Na stronie serwisu SavageNews znajduje się nowa wersja beta przeglądarki internetowej Microsoft Internet Explorer 6.0 (ver. 2463.0052), przeznaczonej dla wszystkich systemów Windows.

Najnowsza wersja testowa przeglądarki oznaczona jako Build 2465.003, choć bez paska Personal Bar ma kilka nowych i ciekawych dodatków.

Pierwszą z nich jest ikona Info, pojawiająca się w chwili, gdy kursor myszy znajdzie się nad zarejestrowaną w programie nazwą firmy. Kliknięcie ikony spowoduje wyświetlenie dodatkowych informacji na temat tej firmy. Ponadto wszystkie nazwy na stronie WWW rozpoznane przez przeglądarkę zostaną podkreślone linią falistą, w podoby sposób, jak Word zaznacza błędy ortograficzne. Osoby, którym owo udogodnienie będzie przeszkadzało w czytaniu, mogą je wyłączyć.

Ponadto w Explorerze uaktywniono zapowiadane wcześniej automatyczne zarządzanie plikami Cookie. Oferuje on również większe możliwości personalizacji ustawień programu. Z kolei jedyne dowody odchudzenia programu widać na pasku zadań: po usunięciu paska Personal wyglądem przypomina on Internet Explorera 5.5.

Dla internautów znużonych instalacją IE 6.0 poprzez sieć, przeznaczona jest pełna wersja testowa. W związku z tym, że jest to wersja Beta, każdy powinien ją instalować na własną odpowiedzialność.

Włamanie do celebsites

Dzisiejszego dnia, Haker – Prime Suspectz podmienił trzy strony Hollywoodzkich gwiazd: jenniferaniston.com, melgibson.com oraz denzelwashington.com

W sumie nic dziwnego, gdyż strony zamieszczone na serwerze dev.celebsites.com są pod kontrolą Windows 2000 i Microsoft IIS 5.

Na podmienionych stronach znalazło się duże logo, prezentujące Brazylijską flagę, Portugalski poemat pt. „The Star” oraz komiczny tekst napisany przez hakera:

„Hi Mel Gibson, my mother loves you!!
Jennifer, we love you!!
Jennifer and BRAZIL RLZ…
Hey Danzel [sic], you are a very good actor and
my mother loves you too.”

Prawdopodobnie Haker usiłuje przedstawić możliwość łatwego włamania się i podmienienia praktycznie wszystkich stron znajdujących sie na serwerze Celebsites które są pod kontrolą Windows 2000 oraz Microsoft IIS 5.

Windows XP MP3

Ograniczenia, jakie nakłada Media Player 8 na pliki MP3 produkowane w systemie Windows XP zostały złamane.
Po drobnych zmianach Rejestru systemu dostępne stają się opcje umożliwiające skompresowanie muzyki w paśmie 64, 128 i 192 Kb/s.

Aby usunąć blokady założone, jak tłumaczy Microsoft, w celu uniknięcia opłat licencyjnych za korzystanie ze standardu MP3 (co podniosłoby cenę Windows XP o 2,5 USD), wystarczy uruchomić edytor Rejestru i odnaleźć gałąź HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\Settings\MP3Encoding. Znajdujące się tam wpisy opisują jedynie kompresję niskiej jakości. Wystarczy teraz dopisać cztery wartości typu DWORD:

LowRate = 0000dac0
MediumRate = 0000fa00
MediumHighRate = 0001f400
HighRate = 0002ee00

Po tym zabiegu otrzymujemy w pełni sprawny system Windows XP.